[发明专利]网络设备的报文访问控制方法及系统

权利要求书

1.一种网络设备的报文访问控制方法，其特征在于，对于入接口ACL匹配的处理策略为允许且未开启网络地址转换NAT功能的输入报文，执行以下步骤：

S1、查找所述输入报文的出接口信息，根据在相应出接口上所应用的ACL指令，对所述输入报文执行出接口ACL匹配；

S2、对于匹配的处理策略为允许的输入报文执行业务处理，并将业务处理完成后获得的输出报文直接通过相应出接口转发。

2.根据权利要求1所述的网络设备的报文访问控制方法，其特征在于，还包括步骤S3：丢弃匹配的处理策略为禁止的输入报文。

3.根据权利要求1所述的网络设备的报文访问控制方法，其特征在于，所述入接口ACL匹配和出接口ACL匹配的步骤由与相应接口连接的专用硬件芯片执行，之前还包括所述专用硬件芯片从所述网络设备获取所连接接口应用的入接口ACL和所述网络设备每一接口所应用的出接口ACL的步骤。

4.根据权利要求3所述的网络设备的报文访问控制方法，其特征在于，当所述网络设备为由接口板和多业务板构成的分布式架构网络设备时，所述入接口ACL匹配和出接口ACL匹配的步骤由设置在所述接口板上的专用硬件芯片执行；其中，所述专用硬件芯片从各业务板获取所连接接口应用的入接口ACL和所述网络设备每一接口所应用的出接口ACL。

5.根据权利要求1-4任一所述的网络设备的报文访问控制方法，其特征在于，所述步骤S1之前还包括：

S00、根据在入接口上所应用的ACL指令，对所述输入报文执行入接口ACL匹配；

S01、对于匹配的处理策略为允许的输入报文，识别其NAT功能是否开启，未开启则执行步骤S1。

6.根据权利要求5所述的网络设备的报文访问控制方法，其特征在于，当步骤S01中识别输入报文的NAT功能开启时，还执行以下步骤：

S1′、对所述输入报文执行业务处理获得输出报文；

S2′、查找所述输出报文的出接口信息，并根据所述出接口上所应用的ACL指令，对所述输出报文执行出接口ACL匹配；

S3′、将匹配的处理策略为允许的输出报文通过所述出接口转发；

S4′、丢弃匹配的处理策略为禁止的输出报文。

7.根据权利要求1-4任一所述的网络设备的报文访问控制方法，其特征在于，所述步骤S1中查找所述输入报文的出接口信息的步骤包括：通过查找转发信息表FIB和地址解析协议ARP表获得所述输入报文的出接口信息。

8.一种网络设备的报文访问控制系统，包括业务处理单元和接口，其特征在于，还包括：

与各接口连接的NAT功能识别单元，用于识别相应接口接收的输入报文是否开启网络地址转换NAT功能；

与各接口以及所述NAT功能识别单元连接的入接口ACL匹配单元，用于根据相应入接口上所应用的ACL指令，对所述接口接收的输入报文执行入接口ACL匹配；以及，根据所述NAT功能识别单元发送的识别结果，触发所述业务处理单元对入接口ACL匹配的处理策略为允许且开启NAT功能的输入报文进行处理，触发出接口ACL匹配单元对入接口ACL匹配的处理策略为允许且未开启NAT功能的输入报文进行处理；

与所述入接口ACL匹配单元以及业务处理单元连接的出接口ACL匹配单元，用于接受所述入接口ACL匹配单元的触发，查找所述输入报文的出接口信息，根据在相应出接口上所应用的ACL指令对所述输入报文执行出接口ACL匹配，以及，触发所述业务处理单元对出接口ACL匹配的处理策略为允许的输入报文进行处理，并丢弃匹配的处理策略为禁止的输入报文；

其中，所述业务处理单元用于对接收到的输入报文进行业务处理以获得输出报文；以及，对于从所述入接口ACL匹配单元接收到的输入报文，相应将业务处理获得的输出报文发送给所述出接口ACL匹配单元进行出接口ACL匹配；以及，对于从所述出接口ACL匹配单元接收到的输入报文，相应将业务处理获得的输出报文直接通过相应出接口转发。

9.根据权利要求8所述的网络设备的报文访问控制系统，其特征在于，所述NAT功能识别单元、入接口ACL匹配单元和出接口ACL匹配单元与所述业务处理单元合并设于所述网络设备的CPU中。